한국씨티은행은 외국계 금융기관답게 글로벌 수준의 IT컴플라이언스를 준수하고 있다. 특히 씨티그룹 자체적으로 수립한 높은 수준의 보안 정책인 CISS(Citi Information security standard)를 준수해 내부보안에 많은 노력을 기울이고 있다.

씨티은행의 CISS의 내용을 살펴보면, 보안정책이 비즈니스에 있어서 가장 중요한 부분으로 인식되고 있다는 것을 알 수 있다. 이는 비즈니스와 보안을 함께 생각하지 않고 오히려 뒷전으로 했던 우리나라의 보안정책과 크게 비교되는 점이다. 보안뉴스에서는 이창영 부부장을 만나 한국씨티은행의 보안정책에 대해 들어봤다.

씨티은행의 CISS란 무엇인가?

CISS는 사람들의 보안의식을 점검하고 관리하는 체계다. CISS는 씨티은행의 보안정책이라고 말할 수 있지만, 그보다 더 큰 의미를 지닌다. 보통 우리나라에서 보안정책은 보안에 대한 부분을 의미하지만, CISS는 비즈니스에 있어서 지켜야할 보안 규정으로 보고 있기 때문이다.

즉 씨티은행에서는 하나의 내부적인 법처럼 존재한다. 우스갯소리로 “일은 못해도 계속 근무가 가능하지만, 보안을 위반할 경우, 즉 이 규정을 위반하면 즉시 퇴사하여야 한다”라고 이야기 할 정도다. 물론 각 나라마다 환경과 문화가 달라 이런 규정을 전부 이해하고 따르기는 쉽지 않다.

현재 100여개의 나라에 씨티은행이 들어가 있는데, 어느 특정한 나라에서 문제가 발생하면 씨티은행의 전반적인 이미지에 타격을 입게 되고, 이것은 특정한 나라의 특정한 비즈니스로 부터 생성되는 이익을 월등히 초과하는 기업 손실을 발생하게 한다. 따라서 어느 나라든 CISS를 지켜야하고 문화에 따른 차이점 때문에 규정이 변경돼야할 부분이 있다면, 예외사항에 대한 전문적인 검토와 별도 승인을 받아야한다.

CISS의 규정을 간단하게 요약한다면.

10개 부문으로 구분되어 있고, 전산 관련 규정과 지침, 절차가 기술되어 있다.  보통 내부적으로 CISS 관련 교육은 몇 달에 걸쳐 진행하는 부분이기 때문에 모두 다 설명하긴 힘들다. 특징적으로 국내기업체와 다른 몇가지의 예는 ISA Procedure (Information Security Administration)라고 시스템과 애플리케이션 접근 권한에 대한 관리/통제 절차와 Log Review Procedure라고 내부 사용자의 접속 로그(Log)에 대한 리뷰(Review) 절차가 있다.

그리고 TPISA(Third Party Information Security Assessment)라고 씨티은행과 관련된 서드파티에 대한 관리체계도 포함돼 있다. 그러나 이 외에도 애플리케이션 취약점 점검 절차, 개발시스템에서의 데이터 관리, 프로젝트 관리, 문서관리, 출입통제 등 모든 보안절차가 CISS에 포함돼 있으며 이는 씨티그룹의 글로벌 스탠다드를 기준으로 한다.

내부 유출을 방지하기 위한 정책은 어떤 것이 있나?

일단 강력한 접근통제가 최우선되어야 한다. 이것을 위하여 아래와 같은 특징적인 컨트롤(Control)기능들을 구축/운영하고 있다.

첫 번째, 전산기기에 대한 인증환경(SOE; Standards Operation Environment)을 만들어,  SOE가 설치되지 않은 환경에서는 씨티은행의 네트워크에 접속할 수 없도록 하고 있다. 이 SOE는 보안관련 표준 SW 설치를 의무화하고 있으며, USB 삭제 및 어드민(Admin) 계정은 사용할 수 없도록 하고 있다. 이에 따라 엑티브X와 같이 어드민의 승인을 요구하는 프로그램은 설치하지 못한다.

두 번째, 모든 전산기기 및 업무시스템의 접근권한은 전산본부의 ISA(Information Security Admin)에 부여/삭제/관리되도록 집중되어 있다.  우선 현업부서에서 접근권한을 정리한 Matrix(직무/직책/소속부서/예외사항 등을 분류)를 ISA에게 제공하고, ISA는 Matrix를 기준으로 씨티은행내의 모든 전산기기 및 애플리케이션에 대한 접근권한과 업무처리권한을 요청자의 요청에 따라 부여/관리하고 있다. 

세 번째, 내부사용자의 행위에 대한 Log Review를 일단위(Daily)로 수행하고 있다.  Log Review의 주요 Item은 불법 접근 시도와 권한 초과 행위 등의 확인이고, SP/DBA/ISA 등등의 주요 업무담당자에 대해서는 모든 접근의 요청사항과 입력한 명령어를 대사하고 있다.

다음으로 모든 접근권한은 EERS(Enterprise Entitlement Review System)에 매일 등록/관리되고 있고, 소속 부서장에 의해 매 6개월마다 재검토되고 있다.  씨티은행은 EERS를 이용하여 퇴직자와 이동자에 대한 완벽한 권한통제가 실시간 관리되고 있었다. 물론 인증시스템, ID관리시스템, DNS 등등의 기본적인 인프라는 당연 구축되어 있는 상태이다.

또한 다량의 고객정보 유출을 방지하기 위하여, 일반 사용자는 고객정보를 개인PC에 다운로드 받지 못하도록 강제하고 있고,  DAP(Developer Access to Production)라는 규정으로 개발자 및 개발시스템에 대한 보안을 강제하고 있다.  DAP은 개발자가 접근 가능한 개발시스템의 환경과 보안요건들을 규정하고 있고, 모든 중요 고객정보는 차폐(Masking)되어야만 개발시스템에 로딩(Loading)될 수 있고, UAT(User Acceptance Test)에서 실 데이터가 필요한 경우에는 프로덕션(Production) 시스템과 같은 통제를 갖추도록 강제되어 있다.

외부유출을 막기 위한 정책은 어떤 것이 있나?

외부유출은 주로 외부 업체 및 직원들에 의해 발생하고 있고, 이를 대비하기 위하여 씨티은행은 서드파티에 대해서 TPISA(Third Party Information Security Assessment)를 수행하고 있다. TPISA는 씨티은행의 중요 고객정보를 취급하는 벤더에 대한 보안 평가 기준 및 절차라고 보면 된다. 예를들면 업무적으로 우편물발송 업체나 카드단말기 회사 등 씨티은행의 고객정보를 취급하는 벤더들에 대해 주기적인 정보 관리 실태와 보안체계 등을 씨티은행에서 점검하고, 발견된 미흡사항에 대한 보완을 요청하는 것이다.  미흡사항은 해당 업체를 담당하고 있는 비즈니스 담당자에게 전달되고, 보완 조치가 잘 이행되지 않으면 서드파티를 바꾸도록 하는 등 엄격하게 진행되고 있다.

글로벌 표준 이행에 있어 한국의 특수성이 걸림돌이 되는 경우도 있나?

한국은 많은 부분 CISS와 상이한 부분이 있다. 특히 한국의 인터넷뱅킹 보안시스템이나 공인인증서 등은 CISS와 다른 부분이 많아 본사의 예외승인을 받아야 했다. 예를 들어 보안취약점이 많은 액티브 엑스의 사용과 세계적으로 권장하는 패스워드 규칙의 미준수(주기적인 변경 및 3번 이상 오류입력시 Lock) 등등이다.

2005년 한미은행과 합병후, 로컬의 환경과 씨티은행의 글로벌 환경이 차이로 인하여 많은 어려움이 있었고,  당시에는 너무 강력한 씨티은행의 보안표준으로 인하여 서로의 견해차이가 많았었지만,  4년 동안 수많은 협의와 전 직원에 대해 연간 20여 시간의 보안 관련 교육 등을 통하여 현재의 안정적인 운영을 성취하였다.

보안 규제 정책이 정착되기 위해 필요한 것은 무엇이라 생각하는지?

내부적으로 보안을 잘 지키기 위해서는 경영진의 의지가 가장 중요하다. 씨티은행의 경우, 전산위원회와 보안위원회에 임원진은 대부분 높은 지위에 있다. 또한 내부적으로 글로벌 보안 주간이 있는데, 이때는 은행장이 직접 보안에 관련된 내용을 전달 할 정도로 보안 의식이 강하다.

우리나라 보안체계의 문제점을 지적한다면.

보안 자체가 IT쪽에서 수행하도록 하는 것이 국내의 특성이고, 보안 책임과 역할 수행의 상당수가 IT쪽에서 가지고 있다 보니, 기술적인 부분으로만 접근을 하게 되는 형태들이 발생한다. 글로벌 기업의 경우, 모든 책임 자체를 비즈니스 쪽에서 갖도록 되어 있다. 예를 들면 국내의 경우 IT에서 DDoS 장비를 구입하여야 한다고 예산을 올리고 이에 대한 구축을 진행하는 동안 비즈니스는 이것이 왜 필요하고 너무 많은 비용과 인력이 투입되는 것에 대한 추궁을 하는 형태이나,  글로벌기업체의 경우 IT가 비즈니스에게 당신의 시스템은 어떤 리스크가 있고 이를 해결하는 방법은 DDoS 대응 인프라 구축과 어떤 방법들이 있음을 제시하면, 비즈니스는 IT에 이에 대한 결정과 예산/인원 등등의 제공하면서 전반적인 진행과정을 관리/지원하고 인수하는 형태이다.   

또한 글보벌기업체의 가장 큰 차이점 중 하나는 방화벽이나 IDS와 같은 기술적인 보안부분은 당연한 것으로 인식하고. 기술적 부분보다는 내부적인 보안 체계와 점검 등과 같은 보안 마인드를 더 중요시 한다는 점이다. 기술적인  보안은 당장은 아니라도 곧 허점이 도출되고 이로 인한 사고가 발생되지만, 보안체계와 보안 마인드는 굉장히 오랜 기간 동안 광범위한 곳에서 더 강력하게 유지될 수 있는 것이다.

마지막으로 내년에 예상되는 보안위협이 있다면.

내년에도 DDoS가 핫이슈가 될 것으로 보인다. 그리고 국내 금융기관들이 대부분 같은 상황이지만 외부에서의 공격에 대한 많은 노력을 기울인 결과 이에 대한 Risk가 적어졌다고 보이고,  여전히 존재하고 있는 내부 직원들에 의한 사고가 주요 보완사항으로 대두될 것으로 보인다. 특히 오프라인의 문서의 경우, 온라인과 같은 이동에 대한 로그가 잘 남지 않기 때문에 문제가 심각할 수 있다. 가령 프린트한 문서나 정보가 저장된 CD를 내 책상에 놨는데 누가 가져갔다면 알 수 없는 것 아닌가? 따라서 좀더 철저한 보완방법을 강구할 필요가 있다고 생각한다.  마지막으로는 점차적으로 활용이 증가되고 있는 무선랜 부분도 심각한 보안 이슈로 대두될 것으로 보인다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>